Eine von der nordkoreanischen Regierung unterstützte Hackergruppe drang in ein amerikanisches IT-Management-Unternehmen ein und nutzte es als Sprungbrett, um eine unbekannte Anzahl von Kryptowährungsunternehmen ins Visier zu nehmen, wie zwei mit der Angelegenheit vertraute Quellen berichten.
Die Hacker brachen Ende Juni in das in Louisville, Colorado, ansässige Unternehmen JumpCloud ein und nutzten ihren Zugang zu den Systemen des Unternehmens, um die Kunden der Kryptowährungsunternehmen anzugreifen und digitales Geld zu stehlen, so die Quellen.
Der Hack zeigt, wie nordkoreanische Cyberspione, die sich früher damit begnügten, Kryptounternehmen einzeln anzugreifen, jetzt Unternehmen ins Visier nehmen, die ihnen Zugang zu mehreren Quellen von Bitcoin und anderen digitalen Währungen verschaffen können.
JumpCloud, das den Hack in einem Blogbeitrag letzte Woche bestätigte und ihn einem "ausgeklügelten, vom Nationalstaat gesponserten Bedrohungsakteur" zuschrieb, beantwortete die Fragen von Reuters nicht, wer genau hinter dem Hack steckte und welche Kunden betroffen waren. Reuters konnte nicht herausfinden, ob durch den Hack digitale Währungen gestohlen wurden.
Das Cybersecurity-Unternehmen CrowdStrike Holdings, das mit JumpCloud zusammenarbeitet, um den Einbruch zu untersuchen, bestätigte, dass "Labyrinth Chollima" - der Name, den es einer bestimmten Gruppe nordkoreanischer Hacker gibt - hinter dem Einbruch steckt.
Adam Meyers, Senior Vice President for Intelligence bei CrowdStrike, lehnte es ab, sich zu den Zielen der Hacker zu äußern, merkte aber an, dass sie es in der Vergangenheit immer wieder auf Kryptowährungen abgesehen hatten.
"Eines ihrer Hauptziele war es, Einnahmen für das Regime zu generieren", sagte er.
Die Vertretung Pjöngjangs bei den Vereinten Nationen in New York reagierte nicht sofort auf eine Bitte um einen Kommentar. Nordkorea hat bisher bestritten, dass es Raubüberfälle auf digitale Währungen organisiert, trotz umfangreicher Beweise - einschließlich UN-Berichten - die das Gegenteil beweisen.
Unabhängige Untersuchungen haben die Behauptung von CrowdStrike bestätigt.
Der Cybersecurity-Forscher Tom Hegel, der nicht an der Untersuchung beteiligt war, sagte gegenüber Reuters, dass das Eindringen in JumpCloud der jüngste von mehreren Einbrüchen in jüngster Zeit sei, die zeigen, wie geschickt die Nordkoreaner bei "Supply-Chain-Angriffen" sind, d.h. bei ausgeklügelten Hacks, bei denen Software- oder Service-Provider kompromittiert werden, um Daten - oder Geld - von nachgeschalteten Nutzern zu stehlen.
"Meiner Meinung nach steigert Nordkorea seine Schlagkraft", sagte Hegel, der für das US-Unternehmen SentinelOne arbeitet.
In einem Blogbeitrag, der am Donnerstag veröffentlicht wird, sagte Hegel, dass die von JumpCloud veröffentlichten digitalen Indikatoren die Hacker mit Aktivitäten in Verbindung bringen, die zuvor Nordkorea zugeschrieben wurden.
Die US-Cyberaufsichtsbehörde CISA und das FBI lehnten eine Stellungnahme ab.
Der Hack von JumpCloud, dessen Produkte Netzwerkadministratoren bei der Verwaltung von Geräten und Servern helfen, wurde Anfang des Monats erstmals öffentlich bekannt, als das Unternehmen seine Kunden per E-Mail darüber informierte, dass ihre Zugangsdaten "aus Gründen der Vorsicht im Zusammenhang mit einem laufenden Vorfall" geändert würden.
In dem Blogbeitrag, in dem bestätigt wurde, dass es sich bei dem Vorfall um einen Hack handelte, führte JumpCloud das Eindringen auf den 27. Juni zurück. Der auf Cybersicherheit spezialisierte Podcast Risky Business zitierte Anfang dieser Woche zwei Quellen, wonach Nordkorea ein Verdächtiger bei dem Einbruch sei.
Labyrinth Chollima ist eine der produktivsten Hackergruppen Nordkoreas und soll für einige der gewagtesten und störendsten Cyberangriffe in dem isolierten Land verantwortlich sein. Der Diebstahl von Kryptowährungen hat zum Verlust von horrenden Summen geführt: Das Blockchain-Analyseunternehmen Chainalysis hat im vergangenen Jahr festgestellt, dass mit Nordkorea verbundene Gruppen durch mehrere Hacks digitales Bargeld im Wert von schätzungsweise 1,7 Milliarden Dollar gestohlen haben.
Meyers von CrowdStrike sagte, dass man die Hackergruppen aus Pjöngjang nicht unterschätzen sollte.
"Ich glaube nicht, dass wir in diesem Jahr zum letzten Mal nordkoreanische Angriffe auf die Lieferkette erleben werden", sagte er.
|